Тема номера
А.Н. Приезжая
АНАЛИЗ НОРМАТИВНО-МЕТОДИЧЕСКИХ ДОКУМЕНТОВ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
При обеспечении безопасности ПДн операторы зачастую сталкиваются с необходимостью выполнения как требований ФСТЭК России, так и требований ФСБ России, что представляет собой нетривиальную задачу. В данной статье предлагается метод разработки модели угроз и возможностей нарушителя, соответствующей требованиям регуляторов. Разработанный автором метод строится на выявлении ключевых понятий и построении на их основе непротиворечивой терминологии и, соответственно, единой модели.
Ключевые слова: персональные данные, нормативные документы, модель угроз, модель нарушителя, требования.
С введением Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» операторы персональных данных (ПДн), а ими в той или иной степени являются все юридические лица, столкнулись с необходимостью обеспечения безопасности ПДн. В ряде случаев (в том числе и для государственных структур) возникает необходимость аттестации по требованиям безопасности информации информационных систем, обрабатывающих ПДн1. Иными словами, организация должна выполнить весь комплекс мероприятий по созданию СЗИ, в том числе разработку документации, отвечающей требованиям ФСТЭК России2 и ФСБ России (в случае применения средств криптографической защиты) как в области защиты ПДн, так и в области защиты информации конфиденциального. Кроме того, ПДн до недавнего времени не выделялись из общего массива информации, обрабатываемой в организации,
© Приезжая А.Н., 2010
что еще больше затрудняет создание СЗИ, отвечающей требованиям регуляторов.
Несмотря на то что нормативно-методическая документация ФСТЭК России и ФСБ России направлена на решение одной задачи - обеспечения безопасности информации, в документах используются различные подходы к обеспечению безопасности, в том числе в них используется разная терминология. Такая ситуация, естественно, ведет к появлению определенных трудностей при разработке документов, в частности модели угроз безопасности ПДн и возможностей нарушителя. Тем не менее практика показывает, что разработать и согласовать модель угроз можно, хотя для этого необходим не совсем стандартный подход: проведенный анализ НМД-регуляторов показал, что критичными для них являются разные составляющие модели угроз и нарушителя, что позволяет объединить подходы, используя в качестве основы ключевые абстракции, общие для рассматриваемых подходов.
После издания Федерального закона появилось достаточно много статей, указывающих на слабости и противоречия в существующей нормативной базе, а также большое количество публикаций по проблемам применения документов регуляторов, в первую очередь ФСТЭК России. Необходимо отметить, что большая часть публикаций либо обозначает проблемы3, либо представляет собой пересказ руководящих документов с ком-ментариями4, в них, как правило, не предлагаются решения обозначенных проблем5. В данной статье предлагается метод разработки модели угроз, соответствующей требованиям регуляторов и адекватной объекту.
Рассмотрим структуру нормативной методической документации (НМД) в области обеспечения безопасности конфиденциальной информации. В первом приближении структура НМД может быть описана следующей схемой (рис. 1).
В соответствии с приведенной схемой нормативная база для разработки системы защиты выбирается в зависимости от вида (видов) обрабатываемой информации и условий ее обработки. При этом в системе одновременно могут обрабатываться несколько видов информации, а использование нормативной базы ФСБ России в общем случае не отменяет обязательность исполнения требований ФСТЭК России.
Каждый регулятор создает собственную нормативно-методическую базу, используя различную терминологию и методический подход, более того, терминология и подход, используемые регуляторами при разработке методических рекомендаций по защите ПДн, несколько отличаются от таковых, используемых в НМД по
Рис. 1. Схема НМД в области обеспечения безопасности конфиденциальной информации
защите информации конфиденциального характера. В данной статье проводится анализ НМД по защите персональных данных ФСТЭК России и НМД ФСБ России.
Нормативно-методическая документация по обеспечению безопасности ПДн разработана регуляторами в соответствии с Постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», и при разработке этих документов изначально предполагалось их совместное использование, но, к сожалению, расхождения в подходах полностью устранены не были.
Требования к обеспечению безопасности ПДн с использованием криптографических средств при их обработке в информационной системе ПДн предъявляются ФСБ России6, при этом руководящие документы ФСБ России не исключают требований ФСТЭК России, а дополняют их7. В руководящих документах используется традиционный для ФСБ подход определения тре-
бований к системе в зависимости от возможностей потенциального нарушителя.
«Методические рекомендации...» выделяют два вида модели угроз: верхнего уровня и детализированную. Модель угроз верхнего уровня предназначена для определения характеристик безопасности защищаемых объектов и используется при построении детализированной модели угроз. Детализированная модель предназначена для определения требуемого уровня криптографической защиты, то есть для определения требований к функциональным возможностям системы защиты информации.
В контексте модели верхнего уровня ФСБ России определяет угрозу безопасности объекта как возможное нарушение характеристики безопасности объекта, соответственно модель угроз верхнего уровня определяется перечнем всех характеристик безопасности для всех возможных объектов угроз, например угроза модификации информации о состоянии банковского счета.
Для создания детализированной модели угроз необходимо определить совокупность условий и факторов, создающих опасность нарушения характеристик безопасности возможных объектов угроз. Понятие угрозы безопасности в контексте детализированной модели угроз отличается от угрозы безопасности верхнего уровня. В частности, разделяются атаки8 и угрозы, не являющиеся атаками, что подразумевает включение в понятие угрозы методов ее реализации. При этом модель угроз разрабатывается через перечень возможностей нарушителя9, то есть подразумевается, что угрозы, не являющиеся атаками, из рассмотрения фактически убираются10. Иными словами, детализированная модель угроз должна содержать максимально полное описание атак. Атака как любое целенаправленное действие характеризуется рядом существенных признаков: субъект атаки (нарушитель), объект атаки, цель атаки, имеющаяся у нарушителя информация об объекте атаки, имеющиеся у нарушителя средства атаки, канал атаки.
Возможные объекты атак и цели атак определяются на этапе формирования модели угроз верхнего уровня. Как было сказано выше, возможность проведения атак обусловлена возможностями нарушителя, то есть перечень возможных атак определяется моделью нарушителя. В силу этого утверждения ФСБ России предъявляет требования к информационным системам, обрабатывающим ПДн, в зависимости от типа нарушителя (Н1, Н2, ... , Н6) (табл. 1).
Таблица 1
нарушителя Возможность — Н1 Н2 Н3 Н4 Н5 Н6
Возможность сговора
Известны все сети связи, работающие на едином ключе
Располагают исходными текстами прикладного программного обеспечения Располагают всей документацией на крипто-средство и СФК
Располагают не только доступными в свободной продаже аппаратными компонентами крип-тосредства и среды функционирования криптосредства (СФК) В зависимости от реализованных в ИС организационных мер Любыми компонентами
Использование штатных средств Только если они расположены за пределами КЗ В зависимости от реализованных в ИС организационных мер
Могут проводить лабораторные исследования криптосредств, используемых за пределами контролируемой зоны ИС
Могут ставить работы по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа криптосредства и СФК
ФСБ России определяет следующую структуру модели нарушителя безопасности ПДн:
- описание нарушителей (возможности внешних и внутренних нарушителей, возможности сговора, тип нарушителя, категории лиц - потенциальных нарушителей);
- предположения об имеющейся у нарушителя информации об объектах атак;
- предположения об имеющихся у нарушителя средствах атак;
- описание каналов атак (каналы связи, штатные средства, носители информации, каналы непосредственного доступа к объекту атаки, технические каналы утечки).
Термины, использованные в руководящих документах ФСБ России (рис. 2), в значительной степени пересекаются с терминами документов ФСТЭК России11-14, однако далеко не всегда эти термины используются в точности в том же значении, что и порождает трудности для операторов (и/или интеграторов), пытающихся реализовать одновременно требования ФСТЭК и ФСБ.
Таким образом, ФСБ России предлагает такой порядок разработки модели угроз (рис. 3).
Классификация ИСПДн осуществляется на основе модели нарушителя, требования к функциональным возможностям средств защиты предъявляются только в части, касающейся применения криптографических средств.
Документы ФСТЭК России, регламентирующие защиту ПДн, к сожалению, нуждаются в доработке. Тем не менее строить системы защиты, отвечающие требованиям данных документов, приходится уже сейчас.
STSib
1 1 1 1
нз Н4 Н5 Н6
1 1 I
| управляюиэя И 1 логи 1
| аутентифтч>ующая И. | ¡остаточная И. | | ПЭМИ | | резервные копии |
Рис. 2. НМД ФСБ
Модель объекта
Модель угроз верхнего уровня
Модель нарушителя
Детализированная модель угроз
Рис. 3. Порядок разработки модели угроз безопасности ПДн
Основой для классификации информационных систем и построения системы защиты ПДн в соответствии с РД ФСТЭК России является модель актуальных угроз. Возможность реализации угрозы определяется условиями и факторами, а ее реализация влечет за собой последствия, которые необходимо учитывать при определении актуальности угроз. Актуальность угроз зависит от исходной степени защищенности автоматизированной системы; вероятности реализации угрозы; показателя опасности угрозы. Вероятность реализации угрозы и степень ее опасности определяются экспертным путем. Данный подход включает в себя элементы анализа рисков, в то время как с точки зрения ФСБ России модели угроз полностью определяются возможностями нарушителя.
В терминологии ФСТЭК России угроза включает в себя источник угрозы, уязвимость, способ реализации угрозы, объект воздействия, несанкционированный доступ и реализуется через канал реализации (источник угрозы, среда распространения, носитель информации). Источником угрозы могут быть нару-шитель15, закладное устройство16, вредоносная программа. Возможности источников определяются методами и средствами несанкционированного доступа. При этом в документах ФСБ России закладные устройства и вредоносное ПО не рассматриваются как самостоятельный источник угрозы, так как их внедрение обусловлено действиями нарушителя или ошибочными действиями пользователя. Здесь необходимо отметить, что ФСБ России определяет нарушителя как лицо (или процесс), проводящее атаку, и рекомендует исключать из числа нарушителей доверенных лиц (например, пользователей группы администраторов), а в терминах ФСТЭК России нарушителем является лицо, совершающее не только преднамеренные
(атаки), но и случайные действия, приводящие к нарушению безопасности информации, в частности, «Базовая модель...» ФСТЭК России предлагает такие категории нарушителей, как зарегистрированные пользователи с полномочиями администратора безопасности автоматизированной системы и зарегистрированные пользователи с полномочиями системного администратора автоматизированной системы.
Разработка модели угроз в соответствии с руководящими документами ФСТЭК России осуществляется по следующей схеме:
В данной схеме модель нарушителя не является самостоятельным документом, она представляет собой второстепенную часть модели угроз, а модель угроз имеет один уровень детализации, соответствующий детализированной модели угроз в терминологии ФСБ России. Основные термины и понятия, используемые при разработке модели угроз ПДн в соответствии с РД ФСТЭК, приведены на рис. 4.
Из всего вышесказанного следует, что руководящие документы ФСТЭК И ФСБ России предлагают несколько различный подход к разработке модели угроз и используют разную терминологию, в частности не совпадают такие основополагающие понятия, как «нарушитель» и «угроза». Согласно предлагаемому регуляторами подходу, классификация автоматизированных систем и определение функциональных требований к СЗИ должны осуществляться на основании модели угроз, которую рекомендуется согласовывать с регуляторами.
При объединении двух подходов необходимо найти совпадающие абстракции, в данном случае рассматриваются понятия «объект воздействия» и «объект атаки», обозначающие идентичные сущности (данные понятия связаны соответственно с угрозой и атакой), далее определяется примерное соответствие терминов ФСТЭК и ФСБ России (табл. 2):
Таблица 2
ФСБ России ФСТЭК России
Атака Угроза
Нарушитель Источник
Средства Методы и средства
Цель НСД
Канал атаки Способ реализации Канал реализации
Уязвимость
Нет соответствий Вероятность реализации
Показатель опасности
канал реализации
определяют
реализуется через
Условия и Факторы (from Термины)
Уфоза
приводит
виды
способ реализации
ПОД £
нсд
пэми
доступность целостность
обладает
(онфиденциальность
Возможности
методы и средства
вредоносное ПО
Нарушитель
программ исты разработчики МБ ИСПДн зарежсгриро ванные удаленные пользователи | с доступом К ИСПДн
Разработки, оопр овождаюиуе ТС зарегистрироЕ инные пользователи МБ сегмента СА сегмента
Рис. 4. НМД ФСТЭК
Фактически руководящие документы ФСТЭК России требуют разработки перечня актуальных угроз вида: источник угрозы, способ реализации, объект воздействия, несанкционированный доступ, уязвимость. Модель нарушителя не играет никакой роли в классификации систем и используется только в процессе формирования перечня угроз17, что позволяет классифицировать и описывать нарушителя в соответствии с требованиями ФСБ России. Категории нарушителя, приведенные в РД ФСТЭК России, будут использованы в процессе определения категорий лиц, которые могут являться потенциальными нарушителями, и их возможностей. При этом в результирующей модели угроз необходимо описать не только атаки, то есть угрозы, умышленно реализованные нарушителем, но и угрозы, связанные с непредумышленными (ошибочными) действиями санкционированных пользователей, приводящими к нарушению безопасности информации. Угрозы, источником которых являются вредоносные программы и аппаратные закладки, целесообразно рассматривать в рамках ошибочных действий пользователя или атак, проводимых нарушителем, т. е. программно-математическое воздействие и внедрение аппаратных закладок можно рассматривать либо как метод реализации атаки, либо как самостоятельную угрозу, источником которой является нарушитель, что позволит, не исключая данные угрозы из рассмотрения, придерживаться при построении модели нарушителя терминологии ФСБ России. Выбор терминологии и методологии ФСБ России для данного раздела обусловлен необходимостью классификации нарушителя на основании руководящих документов ФСБ России. После определения возможностей нарушителя и способов реализации атак (перечня угроз), необходимо провести экспертную оценку вероятности реализации угрозы (атаки) и степень ее опасности для конкретного ресурса системы.
Таким образом, разрабатывается модель нарушителя, позволяющая создать классификацию системы и выбрать необходимый уровень криптографической защиты в соответствии с РД ФСБ России, и перечень актуальных угроз (способов реализации), позволяющий определить требуемый уровень защиты автоматизированной системы от НСД и утечки по техническим каналам, в соответствии с РД ФСТЭК России.
В качестве первого раздела модели целесообразно включать описание ИС как объекта защиты (в частности, назначение, архитектура и структура ИС, состав, обрабатываемая информация и пользователи ИС, функциональные возможности ИС, информационное взаимодействие подсистем ИС).
Таким образом, используя предложенный метод разработки модели угроз безопасности информации и потенциальных
возможностей нарушителя, можно выполнить требования регуляторов в области технической защиты информации, что в свою очередь обеспечивает согласованность документов.
Примечания
1 Сабанов А.Г. Некоторые проблемы защиты персональных данных // Бизнес и безопасность в России. 2009. № 52. С. 37-38.
2 Назаров И.Г. Основные вопросы практической реализации требований по обеспечению безопасности персональных данных при их обработке в информационных системах // Там же. С. 13-16.
3 См.: Голованова Е. Защита персональных данных: проблемы операторов // Information Security / Информационная безопасность. 2008. № 5; Волчинская Е.К. Некоторые правовые проблемы применения Федерального закона «О персональных данных» // Персональные данные. 2009. № 2.
4 См.: Коржов В. Защита персональных данных: проблемы и решения [Электронный ресурс] // Сайт «Открытые системы». [М., 2009]. URL: http://www.osp.ru/os/2009/06/10050193/ (дата обращения: 4.11.2009).
5 См.: Выполнимы ли требования Федерального закона «О персональных данных»: единого мнения нет [Электронный ресурс] // Сайт «Портал персональных данных». [М., 2009]. URL: http://pd.rsoc.ru/press-service/subject3/ news304.htm (дата обращения: 4.11.2009).
6 Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/5-144. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/6/6-622.
7 При этом из двух содержащихся в документах ФСТЭК России и ФСБ России однотипных угроз выбирается более опасная.
8 Атаки готовятся и проводятся нарушителем, причем возможности проведения атак обусловлены возможностями нарушителя.
9 Нарушитель (субъект атаки) - лицо (или инициируемый им процесс), проводящее (проводящий) атаку.
10 Защита от угроз, не связанных с действиями нарушителя, должна регламентироваться инструкциями.
11 Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждены ФСТЭК России 15 февраля 2008 г.
12 Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. Утверждены ФСТЭК России 15 февраля 2008 г.
13 Методика определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена ФСТЭК России 14 февраля 2008 г.
14 Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена ФСТЭК России 15 февраля 2008 г.
15 Нарушитель - физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПДн при их обработке техническими средствами и информационной системы ПДн.
16 При этом при классификации угроз по видам источников выделяются следующие классы угроз: 1) угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющих доступ к ИСПДн, включая пользователей (внутренний нарушитель); 2) угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющих доступ к ИСПДн (внешний нарушитель).
17 Классификация нарушителя и угроз носит справочный характер и предназначена для проведения всестороннего анализа системы.